組織の情報セキュリティ対策自己診断テスト情報セキュリティ対策ベンチマークに関するFAQ

本文を印刷する

情報セキュリティ対策ベンチマークに関するFAQ

Q1 企業名、部署名の入力欄がありますが、なぜ企業名、部署名の入力が必要なのでしょうか?
Q2 ログインアカウントの発行は必須なのでしょうか?
Q3 IPA のデータベースに保存された回答データは、どのように管理されるのでしょうか?
Q4 回答データを提供したくない場合には、どうしたら良いのでしょうか?
Q5 アンケート項目で、正規職員の割合・離職率・個人情報数・現在のセキュリティ対策レベル等、公表されたくないデータが含まれていますが、この入力データは将来第三者に開示される事はありますか?
Q6 本番の自己診断をする前に、試しに使ってみたい時はどうすれば良いですか?
Q7 弊社は、数十社のグループ会社を保有しています。入力をグループ内 IT 組織で一括して行い、管理したいのですが、それは可能でしょうか?
Q8 同業他社がどの程度セキュリティ対策が進んでいるかを確認したいのですが、可能ですか?
Q9 ベンチマークの質問を自社の E-mail で提供し、お客さまの回答を代理入力することは可能ですか?
Q10 お試しで入力した内容を流用して帰社後入力することが可能ですか?
Q11 IPA のデータベースに保存されている診断の基礎となるデータの件数はどの位ありますか?
Q12 「トータルスコアの散布図」に「御社の位置(赤い点)」が表示されないのですが、どうしてでしょうか?
Q1企業名、部署名の入力欄がありますが、なぜ企業名、部署名の入力が必要なのでしょうか?
A1企業名、部署名の入力は必須ではありません。

なお、Ver.3.0からは、企業名と診断の範囲の記載をするようになりました。
企業名と診断の範囲をご入力いただくと、診断結果を PDF で出力する場合に、企業名、と診断の範囲が記載されますので、他社へ自己診断結果を出す際に便利です。

Q2ログインアカウントの発行は必須なのでしょうか?
A2いいえ必須ではありません。

ただ、ログインアカウント発行により、MYページというユーザ固有のページを使用できるようになり、訂正や新規の診断の際に入力の手間を省いたり、前回の自己診断結果と比べたりすることができるようになります。
さらに、ログインアカウントを発行した場合、その診断結果は、IPA のデータベースに保存され、ベンチマーク(望まれる水準の指標)を設定する際の基礎データとなります。
基礎データの増加による診断結果の精度向上のため、回答データのご提供(ログインアカウントの発行)にご協力をお願いいたします。
なお、ログインアカウントを発行する場合は、企業名と診断範囲の入力は必須となります。

Q3IPA のデータベースに保存された回答データは、どのように管理されるのでしょうか?
A3ご提供いただいた回答データは厳格に管理し、本ツールの基礎データとしての使用、および統計処理のみに利用いたします。統計処理は、統計データの公表、および、本システムを改善するための当機構の業務と当該業務に資する研究を目的とします。統計処理では、個々の企業名や部署名とはリンクしませんので、ご安心下さい。
Q4回答データを提供したくない場合には、どうしたら良いのでしょうか?
A4 ログインアカウントの発行をしなければ、IPA にはデータは提供されず、その結果は IPA 担当者でも見ることはできません。

ただし、一部機能(診断結果の PDF 出力)は使用できませんが、診断結果は Web 上に表示されます。

Q5アンケート項目で、正規職員の割合・離職率・個人情報数・現在のセキュリティ対策レベル等、公表されたくないデータが含まれていますが、この入力データは将来第三者に開示される事はありますか?
A5皆様にご入力いただいたデータはセンシティブなデータであることは十分に認識しており、入力データがそのまま第三者に開示される事はありません。

ご入力いただいたデータは厳格に管理し、本ツールの基礎データとしての使用、 および統計処理のみに利用いたします。統計処理は、統計データの公表、および、 本システムを改善するための当機構の業務と当該業務に資する研究を目的とします。

統計処理では、個々の企業名や部署名とはリンクしませんので、ご安心下さい。 また、統計処理では、スコアなどの個々の入力データの操作を致しますが、この統計処理は、IPAの本ツールの関係者が行い、入力データがそのまま外部の第三者に開示されることはありません。

統計処理した結果は、以下のような形で公表しています。

バージョン3.2(2008/5/22 ~)で使用する診断の基礎データ

バージョン3.1(2008/4/21-2009/5/21)で使用する診断の基礎データ

Q6本番の自己診断をする前に、試しに使ってみたい時はどうすれば良いですか?
A6自己診断を開始するページに「初めての方はこちら」というボタンがありますのでそこから入って、ログインアカウントの発行をしないで、質問に答えて下さい。

診断結果は表示されますが、データは残りませんので、試しに使うこともできます。

また、すでにログインアカウントを発行している場合でも、日常的にちょっとチェックしてみたい、試しに使ってみたい、という時は、「初めての方はこちら」というボタンから入って自己診断を行なって下さい。

Q7弊社は、数十社のグループ会社を保有しています。入力をグループ内 IT組織で一括して行い、管理したいのですが、それは可能でしょうか?
A7問題ありません。セキュリティ対策の参考にご活用下さい。

グループ会社の場合、グループ内でセキュリティ対策レベルを揃えることが重要かと思います。一括して入力(又はそれぞれが入力)した診断結果を比較することで、どこが弱いかがわかりますので、グループ内のセキュリティレベルの管理にご活用いただけます。

Q8同業他社がどの程度セキュリティ対策が進んでいるかを確認したいのですが、可能ですか?
A8企業プロフィールの質問には、業種に関する質問があり、そこで選択していただいた業種の中での比較が診断結果では、レーダチャートで示されます。

業種の選択肢は24種類ありますが、業種によっては、診断データの数が少ないものがあるため、バージョン3.2(2008/5/22 ~)では、次の業種グループで比較をしています。
(1) 建設業  (2) 製造業  (3) 電力・ガス・熱供給業・水道業・運輸業  (4) 情報サービス業   (5) 通信業、放送業、ISP・ASP、出版業・新聞業  (6) 卸売・小売業  (7) 金融・保険業   (8) 不動産業、飲食・宿泊業  (9) 医療・福祉、教育・学習支援業  (10) 政府機関・地方自治体・公益法人   (11) その他(農林漁業鉱業含む)

Q9ベンチマークの質問を自社の E-mail で提供し、お客さまの回答を代理入力することは可能ですか?
A9Ver.3.0より、自己診断に入るまえに、事前に質問の内容を確認し、準備ができるようにと、「情報セキュリティ 対策ベンチマーク質問一覧」のファイルをダウンロードできるようにしました。この質問一覧にお客様の回答を記載していただいた上で、IPAのWebにアクセスして、回答を代理入力することが可能になりました。
Q10お試しで入力した内容を流用して帰社後入力することが可能ですか?
A10前回入力したデータを流用して診断をしたい場合には、「ログインアカウントの発行」が必要となります。

最初の入力時に「ログインアカウントの発行」で「発行する」を選択し、「ログインID」を取得します。この取得した「ログインID」でログインすると、MYページというユーザ固有のページが表示されます。そこで、前回入力した回答をベースに回答の訂正や新規の診断を行うことができます。

Q11IPAのデータベースに保存されている診断の基礎となるデータの件数はどの位ありますか?
A112009年4月30日現在、約6,000件です。

バージョン3.1(2008年4月21日)より、情報セキュリティを巡る環境変化やレベルの変化を勘案し、診断の基礎となるデータには、最新2年分のデータを適用しています。
具体的には、毎年12月末で集計を区切り、データを見直し、統計情報をまとめ、翌年4月より新しいデータセットでの診断を開始することになります。
2009年5月22日にリリースしたバージョン3.2では、2007/1/1~2008/12/31に提供された診断データの重複等を整理し、1974件を診断の基礎データとして用います。

バージョン3.2 の診断の基礎データの統計情報は、以下のURLに掲載しています。
Ver3.2 統計情報

バージョン3.1 の診断の基礎データの統計情報は、以下のURLに掲載しています。
ver3. 統計情報1

Q12「トータルスコアの散布図」に「御社の位置(赤い点)」が表示されないのですが、どうしてでしょうか?
A12散布図は、「トータルスコア」の縦軸と、「情報セキュリティリスク指標」の横軸で表されています。横軸を算出するためにご入力いただく第2部15問のうち、「売上高」や「個人情報の取扱い数」の値が非常に大きい場合、指標の値が横軸の枠内に収まらなくなってしまいます。その結果、散布図内に「御社の位置」が表示されなくなっています。御社は、散布図枠の右側に存在しているとご認識ください。